보안 인시던트 플레이북
보안 인시던트 플레이북 플로우를 자동 또는 수동으로 호출합니다.
플레이북은 하나 이상의 플레이북이 보안 인시던트와 연결된 경우에만 표시됩니다. 플레이북 구성요소는 PAD(프로세스 자동화 디자이너) 구축 프로세스에서만 작동하며 플로우 디자이너가 구축한 플로우에는 작동하지 않습니다. 기존 Flow Designer가 활성화된 플로우의 경우, 해당 플로우는 계속 작동하며, 활동은 계속해서 응답 작업으로 렌더링됩니다.
플레이북을 보안 인시던트와 연결하는 방법은 두 가지가 있습니다.
- 플레이북 자동 호출
- 수동으로 Playbook 추가
Playbook 자동 호출
Playbook이 자동으로 호출되려면 PAD(프로세스 자동화 디자이너)를 사용하여 프로세스를 정의해야 하며, 트리거 조건이 충족되면 Playbook 활동이 표시된 Playbook 탭이 자동으로 렌더링됩니다.
수동으로 Playbook 추가
플레이북을 수동으로 호출하려면 양식 UI 작업 드롭다운으로 이동하여 플레이북 추가를 선택합니다. 자세한 내용은 플레이북 추가 문서를 참조하십시오.
주:
사용 가능한 플레이북이 이미 있는 경우 추가된 새 플레이북은 기존 플레이북과 동시에 실행됩니다.
- 플레이북 내에서 분석가는 플레이북 카드를 상태별로 필터링할 수 있습니다.
- 분석가는 타원 아이콘에서 플레이북을 선택하여 플레이북을 취소할 수 있습니다.
- 분석가는 각 활동 내에서 건너뛰기, 완료로 표시, 취소와 같은 활동 카드 내에 정의된 작업 또는 샌드박스에 제출, 이메일 검색 등과 같은 오케스트레이션 작업을 수행할 수 있습니다.
- 이러한 각 작업은 활동 정의 내에 정의되며, 표시되는 전체 카드는 활동 정의 자체를 빌드할 때 사용자 지정할 수 있습니다.
주:
향후 모든 활동 정의와 수행할 다음 단계는 잠금 아이콘과 함께 표시되며 사용자에게 읽기 전용 모드입니다. 플레이북 표시 모드는 아래에 설명된 대로 구성으로 제어됩니다.
- 다음으로 이동 .
- 플레이북 경험 페이지에서 SIR 플레이북 경험을 선택합니다.
그림 1. 플레이북 경험 플레이북 경험 SIR 플레이북 경험 페이지가 표시됩니다.그림 2. 플레이북 경험 기록 - 구성 기록을 클릭합니다.
- 구성 탭에서 SIR 플레이북 경험 구성을 클릭합니다.
그림 3. 플레이북 구성 - 보류 중인 항목 가시성 필드의 드롭다운 목록으로 이동하여 원하는 옵션을 선택하고 기록을 저장합니다. 다음 옵션 중에서 선택합니다.
- 보류 중인 활동 숨기기: 작업 공간의 플레이북 섹션에서 보려는 보류 중인 활동을 숨기려면 이 옵션을 선택합니다.
그림 4. 사용자가 보고한 피싱 예시 - 보류 중인 스테이지 및 활동 표시: 작업 공간의 플레이북 섹션에서 보려는 보류 중인 스테이지와 활동을 표시하려면 이 옵션을 선택합니다.
그림 5. 보류 중인 스테이지 및 활동 표시 - 보류 중인 활동 및 스테이지 숨기기: 작업 공간의 플레이북 섹션에서 보려는 보류 중인 활동 및 스테이지를 숨기려면 이 옵션을 선택합니다.
그림 6. 보류 중인 활동 및 스테이지 숨기기
- 보류 중인 활동 숨기기: 작업 공간의 플레이북 섹션에서 보려는 보류 중인 활동을 숨기려면 이 옵션을 선택합니다.
- 플레이북 섹션에서 필터 옵션을 사용하여 플레이북 카드 상태(활동 정의)별로 활동을 필터링합니다.
그림 7. 플레이북 카드 상태
플레이북 추가
플레이북을 수동으로 추가하려면 이 섹션을 사용합니다.
시작하기 전에
필요한 역할: sn_si.analyst
프로시저
-
플레이북 추가를 클릭합니다.
플레이북 추가 대화 상자가 표시됩니다.
-
어 쨌든 추가를 클릭합니다.
-
플레이북이 상세 정보 탭 옆에 추가됩니다.
-
플레이북 탭을 클릭합니다.